我这无人问津的小破站都有人攻击啊!(九成九是自动全天候无差别扫描漏洞被扫中了,说实话这种我反倒不担心xs,更怕熟人不图财不图色来看我隐藏的小秘密)
之前就出现过几次重定向到博彩网站,手动删掉恶意脚本了。今天突然看到首页出现一个美女哭哭,还有一个“~ ALFA Wibu Shell-v4.1-Tesla ~”的页面。不搜不知道,一搜吓一跳啊
~ ALFA Wibu Shell-v4.1-Tesla ~是一个非常典型的Web Shell的标识或版本信息。什么是Web Shell?
Web Shell 是一种恶意脚本(通常是PHP、ASP、JSP等语言编写),攻击者在成功入侵一个网站服务器后,会将其上传到服务器上。一旦上传成功,这个脚本就成为了攻击者远程控制服务器的“后门”或“命令行界面”。
通过Web Shell,攻击者可以:
- 执行系统命令:例如,查看文件、创建目录、删除文件、运行程序等。
- 管理文件:上传、下载、编辑、删除服务器上的文件。
- 数据库操作:连接、查询、修改数据库。
- 提权:尝试获取更高的系统权限。
- 内网渗透:以被控服务器为跳板,进一步攻击内网中的其他机器。
- 隐藏踪迹:删除日志文件等。
ALFA Wibu Shell-v4.1-Tesla的含义:
ALFA Wibu Shell: 这是这个Web Shell的名称。
ALFA: 可能是开发这个Web Shell的组织、团队或个人的代号。Wibu: 这个词在网络文化中通常指“Weeaboo”(对日本文化过度痴迷的人),但在黑客工具的命名中,它可能只是一个独特的、带有某种风格的代号,与“Weeaboo”的原始含义不一定直接相关。它不是指Wibu-Systems(一家提供软件保护和授权解决方案的公司)。Shell: 明确指出这是一个用于远程控制的“壳”或“命令行界面”。-v4.1: 表示这是这个Web Shell的4.1版本。Web Shells也会像正常软件一样进行版本迭代,增加功能、修复bug或绕过检测。-Tesla: 这通常是这个特定版本的代号或内部名称,就像软件开发中的“代号发布”一样。总结:
~ ALFA Wibu Shell-v4.1-Tesla ~是一个流行的、功能强大的恶意Web Shell的标识。如果在一个网站的日志文件、被入侵的服务器文件或安全扫描报告中看到这个字符串,这强烈表明该服务器可能已经被攻击者成功入侵并植入了Web Shell,存在严重的安全风险。对于网站管理员来说,发现这样的Web Shell意味着需要立即采取行动,包括:
Gemini-2.5-flash-preview-05-20
- 断开服务器网络连接(如果可能)。
- 备份数据(在安全的环境下)。
- 彻底清除Web Shell和所有恶意文件。
- 查找入侵的根本原因(漏洞),并进行修复。
- 修改所有相关密码。
- 进行全面的安全审计。
有一说一,感觉从原理上讲,用LLM杀毒完虐传统杀毒软件。因为它能“读”代码,而不是靠关键词硬匹配。
网站病毒排查报告(By claude-4-sonnet in cursor)
🚨 ALFA Shell后门警报!
“ALFA Wibu Shell-v4.1-Tesla”是一个非常危险的Web Shell后门工具!这表明攻击者可能还有其他后门或者数据库被篡改了。让我立即进行深度排查:
Read file: wp-blog-header.php
Ran tool
Search files…
Read file: wp-config.php
🎯 找到了!ALFA Shell在mu-plugins目录中!
我发现了问题的根源!在搜索结果中看到了一个可疑文件:wp-content/mu-plugins/tesila.php,它包含大量编码内容,而且位于WordPress的必须加载插件目录中。让我立即检查:
Ran tool
Read file: wp-content/mu-plugins/tesila.php
Ran tool
cd wp-content && find . -name "*.php" -type f -exec grep -l "ALFA\|Tesla\|Wibu Shell" {} \;看到了一个超大的恶意文件!wp-content/mu-plugins/tesila.php 是一个171KB的恶意文件,包含混淆的恶意代码。让我立即清理它:
Ran tool
cd wp-content; Get-ChildItem -Recurse -Name "*.php" | ForEach-Object { if (Select-String -Path $_ -Pattern "ALFA|Tesla|Wibu Shell" -Quiet) { Write-Output $_ } }Read file: wp-content/mu-plugins/ensure-eamon-content-protection.php
Ran tool
Ran tool
Ran tool
Read file: index.php
Ran tool
让我检查主要的 .htaccess 文件和一些重要的配置文件:
Ran tool
Read file: wp-content/uploads/.htaccess
Get-ChildItem -Path . -Name ".htaccess" -ForceRan tool
cd ..; Get-ChildItem -Path . -Name ".htaccess" -ForceRan tool
Ran tool
Search files…
🚨 又发现新的恶意文件!
我在搜索中发现了另一个危险的后门文件:dashboard/stylesheets/instase.php。这是一个十六进制解码执行器,让攻击者能够远程执行任意PHP代码。让我立即清理它:
Ran tool
Get-ChildItem -Recurse -Path . -Name "*.php" | Where-Object { $_ -match "instase|wecha|hex2bin" }Ran tool
Ran tool
🚨 发现更多恶意后门文件!
搜索结果显示还有多个恶意文件使用相同的攻击模式。让我立即清理它们:
Ran tool
Ran tool
Ran tool
Get-ChildItem -Recurse -Path "wp-content" -Name "index.php" | ForEach-Object { $path = "wp-content\$_"; if (Select-String -Path $path -Pattern "hex2bin_custom|wecha_id" -Quiet) { Write-Output $_ } }现在让我做最后的全面安全检查,确保所有恶意代码都已清除:
Ran tool
Ran tool
Ran tool
Read file: wp-config.php
🎉 恶意代码清理完成!
经过全面的安全检查,我已经成功清除了您网站中的所有恶意代码。以下是清理报告:
✅ 已清除的恶意文件列表:
robots.php– 伪装的后门文件(hex2bin恶意代码)wp-admin/includes/ajax_at.php– 后门脚本wp-content/upgrade/syter.php– 后门脚本dashboard/docs/images/install-wordpress/somethin9.php– 后门脚本wp-admin/includes/edit-tagmessages.php– 被感染的文件(创建gzl.php后门)fastapi-vector-service/vector_env/share/man/man1/jia.php– 后门脚本wp-content/mu-plugins/tesila.php– 171KB的ALFA Shell主文件 ⭐dashboard/stylesheets/instase.php– 十六进制代码执行器wp-includes/customize/class-suste.php– wecha_id执行器wp-content/themes/index.php– 被感染的主题索引文件wp-content/plugins/index.php– 被感染的插件索引文件
✅ 已清理的核心文件:
wp-includes/load.php– 删除了恶意重定向代码(重定向到vieclamvs021.com)
📋 最终安全验证:
- ✅ 无剩余的恶意eval()调用
- ✅ 无ALFA Shell残留代码
- ✅ 无恶意重定向代码
- ✅ 核心WordPress文件完整
🔒 重要安全建议
立即执行的安全措施:
1. 更改所有密码 🔑
- WordPress管理员密码
- FTP/SSH密码
- 数据库密码
- 主机控制面板密码2. 更新所有软件 🔄
- WordPress核心(当前应该更新到最新版本)
- 所有插件
- 所有主题
- PHP版本(如果可能)3. 安装安全插件 🛡️
推荐以下任一安全插件:
- Wordfence Security(免费,功能强大)
- Sucuri Security
- iThemes Security
4. 加强文件权限 📁
文件权限: 644
目录权限: 755
wp-config.php: 600
.htaccess: 6445. 定期备份 💾
- 设置自动每日备份
- 测试备份恢复功能
- 将备份存储在安全位置
📊 攻击分析:
这次攻击使用了多层后门:
- ALFA Shell – 主要的Web管理界面
- 十六进制执行器 – 用于绕过检测
- 重定向劫持 – 用于SEO毒化
- 文件感染 – 确保持久性访问
🎯 您的网站现在应该:
- ✅ 不再显示”ALFA Wibu Shell”页面
- ✅ 不再有恶意重定向
- ✅ 恢复正常的WordPress功能
建议立即测试您的网站,确认一切正常运行!
如果您发现任何异常,请立即告诉我进行进一步排查。
攻击活动日志(By claude-4-sonnet in cursor)
🎯 攻击者日志分析完整报告
基于对Apache访问日志的深入分析,我发现了攻击者的完整活动轨迹:
📊 攻击时间线分析
7月10-13日:侦察阶段
攻击者大量尝试访问常见的恶意文件:
- upfile.php, file.php, alfa123.php, wp-file.php
- wp-content/plugins/wp-file-manager/readme.txt
- wp-content/plugins/css-ready-sel/file.php
7月13日:命令执行尝试
7月20-21日:恶意脚本下载尝试
🚨 7月23日:成功入侵日
关键时间点:
- 03:35:30 – /file.php (404错误)
- 14:38:12 – /wp-content/uploads/file.php (403错误) ⚠️
- 19:17:01 – /wp-content/themes/file.php (404错误)
- 22:22:11 – /upfile.php (404错误)
💡 关键发现
1. 真正的入侵证据:
- wp-content/uploads/file.php 返回 403 而不是404
- 说明文件已存在但被服务器拒绝访问
- 这就是攻击者成功上传的恶意文件!
2. wp-file-manager-pro后门的用途:
- 创建时间:7月23日 01:10:48
- 用途:作为持久化后门和文件管理工具
- 功能:上传、管理、创建更多恶意文件
3. 恶意文件生成链:
📈 攻击者上传的文件清单
基于日志分析和文件创建时间,攻击者确实上传了:
- wp-file-manager-pro/ (7月23日) – 主后门目录
- file.php (通过文件管理器上传)
- xj.php (远程下载器)
- 123.php (混淆后门)
- jiami.php (命令执行后门)
🛡️ 攻击手法总结
- 长期侦察 (7月10-13日) – 寻找现有漏洞
- 漏洞利用 (7月23日) – 通过某个文件上传漏洞成功入侵
- 后门部署 (7月23日) – 安装wp-file-manager-pro
- 横向扩展 (7月23日后) – 创建多个恶意文件
- 持久化控制 – 通过多个后门保持访问
遗憾的是,wp-file-manager-pro本身没有保留详细的操作日志,但通过Apache访问日志我们已经重建了完整的攻击链条。攻击者的主要活动都被记录下来了!
好玩的是,这次攻击的漏洞来源是wp-file-manager这个插件,而这个插件是我那天解决上一次病毒入侵时用来删除根目录文件用的。妙啊!一环扣一环啊!这一遭经历比学校上的网络安全教育课程可生动多了。
windows防火墙还是有用的。中途清空恶意代码但是还没卸载漏洞插件的时候,很快就有新的文件在我眼皮子底下被上传过来了。然后电脑防火墙一分钟之内就报警了:
这么看用我自己日常用的电脑当服务器确实还是有风险在的,当初配置的时候轻飘飘一句带过,现在具象化了——自由和风险一体两面。